Defaults.Exposed

Defaults.Exposed › گزارش‌ها

انتشار SPF کافی نیست: حس کاذب امنیت ایمیل (۲۰۲۶)

منتشرشده 2026-06-29

ارقام تا تاریخ 2026-06-29 · روش‌شناسی نسخهٔ v7. داده‌های تجمیعی سرشماری که بررسی‌های هر دامنه را در میان 261 میلیون دامنهٔ نمره‌گذاری‌شده به هم پیوند می‌دهد. «اعمال‌کننده» = یک سیاست DMARC از نوع quarantine یا reject. ببینید چگونه نمره می‌دهیم.

خطرناک‌ترین جایی که می‌توان در امنیت ایمیل بود، احساسِ محافظت‌شدن است. 32.4% از دامنه‌ها SPF منتشر می‌کنند اما اصلاً DMARC ندارند — و 45.7% دارای SPF هستند که با اعمالِ سیاست پشتیبانی نمی‌شود. این مالکان کاری انجام دادند، «SPF: پیکربندی‌شده» را دیدند و متوقف شدند. اما SPF به‌تنهایی جلوی جعلِ آدرسِ «From» قابل‌مشاهدهٔ شما را نمی‌گیرد — تنها DMARCِ اعمال‌شده این کار را می‌کند. تا تاریخ 2026-06-29، تنها 3.87% از دامنه‌ها به‌طور کامل از نظر ایمیل محافظت‌شده‌اند.

شکاف میان «پیکربندی‌شده» و «محافظت‌شده»

SPF بررسی می‌کند که کدام سرورها می‌توانند از طرف شما ارسال کنند. این آدرسِ «From» را که شخص واقعاً می‌بیند مدیریت نمی‌کند و به گیرندگان نمی‌گوید در صورت شکست چه کنند. این وظیفهٔ DMARC است. بنابراین SPF بدون یک سیاست DMARCِ اعمال‌کننده، قفلی است بدون دری در پشتش:

وضعیتسهم از دامنه‌هاواقعاً محافظت‌شده؟
SPF منتشرشده، اصلاً هیچ رکورد DMARC32.4%خیر
SPF منتشرشده، DMARC بدون اعمال45.7%خیر
به‌طور کامل از نظر ایمیل محافظت‌شده (SPF + DMARCِ اعمال‌شده)3.87%بله

سطر میانی را دوباره بخوانید: 45.7% از همهٔ دامنه‌ها SPF دارند اما هیچ اعمالی ندارند — تقریباً اکثریتِ اینترنت که در منطقهٔ امنیتِ کاذب نشسته است. برای مقاصدِ یک مهاجم، آن‌ها قابل‌جعل هستند — و 89.4% از دامنه‌ها به‌طور کلی چنین‌اند.

بدترین نسخه: ایمیلِ ورودی، بدون نگهبان بر در

برای دامنه‌هایی که واقعاً ایمیل دریافت می‌کنند، اوضاع حادتر می‌شود. 42.7% از دامنه‌ها ایمیل می‌پذیرند (رکوردهای MX دارند) اما اصلاً هیچ احرازِ هویتِ ایمیلِ کارآمدی ندارند — نه اعمالِ SPF، نه DMARC. این‌ها دامنه‌های زنده و فعالی هستند که مالکانشان هر روز ارسال و دریافت می‌کنند و کاملاً قابل جعلِ هویت‌اند. همین فعالیت دقیقاً آن چیزی است که آن‌ها را به اهدافِ جذاب برای کلاهبرداریِ فاکتور و کلاهبرداریِ تأمین‌کننده تبدیل می‌کند.

چرا «ما SPF داریم» به دام تبدیل شد

SPF قدیمی‌تر و ساده‌تر است و نخستین چیزی است که بیشترِ راهنماهای راه‌اندازی به آن اشاره می‌کنند — پس همان جعبه‌ای است که تیک می‌خورد. DMARC دیرتر آمد، پیشرفته‌تر به نظر می‌رسد و به یک پیشرفتِ آگاهانه به‌سوی اعمال نیاز دارد. نتیجه جمعیتِ عظیمی است که گامِ یک را پذیرفتند و هرگز گامِ دو را برنداشتند، سپس همچنان باور داشتند که کار تمام شده است. سرشماری برای نخستین بار وسعتِ این تصورِ نادرست را آشکار می‌کند: 32.4% با SPF و اصلاً بدون DMARC.

چگونه واقعاً محافظت‌شده شوید

  1. SPF خود را نگه دارید، اما تنها به آن تکیه نکنید. (SPF را اصلاح کنید.)
  2. DKIM را اضافه کنید تا ایمیل شما امضا شود. (DKIM را اصلاح کنید.)
  3. DMARC را منتشر کنید و آن را به اعمال برسانید (p=nonequarantinereject). این گامی است که «پیکربندی‌شده» را به «محافظت‌شده» تبدیل می‌کند. (DMARC را اصلاح کنید.)

پرسش‌های پرتکرار

آیا SPF برای متوقف کردن جعلِ ایمیل کافی است؟ خیر. SPF از آدرسِ «From» قابل‌مشاهده محافظت نمی‌کند و به گیرندگان نمی‌گوید جعل‌ها را رد کنند — تنها یک سیاست DMARCِ اعمال‌کننده این کار را می‌کند. 45.7% از دامنه‌ها SPF بدون آن اعمال دارند.

من یک رکورد SPF دارم — آیا محافظت‌شده‌ام؟ نه به‌تنهایی. شما تنها زمانی محافظت‌شده‌اید که SPF (و ترجیحاً DKIM) با DMARCِ تنظیم‌شده روی quarantine یا reject پشتیبانی شود. تنها 3.87% از دامنه‌ها به آن می‌رسند.

چه سهمی از دامنه‌ها هنوز قابلِ جعلِ هویت‌اند؟ 89.4% — زیرا فاقدِ DMARCِ اعمال‌کننده هستند، صرف‌نظر از اینکه SPF منتشر می‌کنند یا نه.

چرا داشتنِ ایمیل (MX) بدون احرازِ هویت به‌ویژه پرخطر است؟ 42.7% از دامنه‌ها فعالانه ایمیل ارسال و دریافت می‌کنند اما هیچ احرازِ هویتِ کارآمدی ندارند — دامنه‌های زنده و مورد‌اعتمادی که هر کسی می‌تواند جعلشان کند، و این دقیقاً همان چیزی است که کلاهبرداران به دنبالش هستند.

بررسی کنید که آیا واقعاً محافظت‌شده‌اید

«ما SPF داریم» با محافظت‌شدن یکی نیست. دامنهٔ خود را رایگان و خصوصی بررسی کنید — ببینید آیا ایمیل شما هنوز قابل جعل است.

دامنهٔ خود را بررسی کنید → · DMARC را اصلاح کنید → · امتیازِ مواجههٔ دامنه → · p=none محافظت نیست → · تنها داده‌های تجمیعی. داده‌ها در اتحادیهٔ اروپا ذخیره و پردازش می‌شوند.